Kritische Sicherheitslücke in Apache Pulsar entdeckt

Am 2.4.24 wurde die Apache Pulsar Sicherheitslücke CVE-2024-29834 veröffentlicht. Durch diese Schwachstelle können authentifizierte Benutzer mit Produktions- oder Konsumberechtigungen unbefugte Operationen an partitionierten Topics durchführen, wie das Entladen von Topics und das Auslösen von Verdichtungsvorgängen, die normalerweise auf Benutzer mit Tenant-Admin-Rolle oder Superuser-Rolle beschränkt sein sollten. Die Sicherheitslücke betrifft mehrere Versionen von Apache Pulsar, einschließlich der Versionen 2.7.1 bis 2.10.6, 2.11.0 bis 2.11.4, sowie die 3.0.0 bis 3.0.3, 3.1.0 bis 3.1.3 und 3.2.0 bis 3.2.1.

Darüber hinaus ermöglicht die Schwachstelle es einem authentifizierten Benutzer, Namespace-Eigenschaften in jedem Namespace und jedem Mandanten zu lesen, zu erstellen, zu ändern und zu löschen. Diese Namespace-Eigenschaften sind normalerweise für vom Benutzer bereitgestellte Metadaten über den Namespace reserviert.

Betroffene Anwender von Apache Pulsar Version 3.0 sollten auf mindestens Version 3.0.4 upgraden, während Nutzer der Versionen 3.1 und 3.2 auf mindestens 3.2.2 aktualisieren sollten. Benutzer, die frühere Versionen als die genannten betreiben, sollten auf die entsprechenden gepatchten Versionen oder neuere Versionen umsteigen, um sich vor potenziellen Sicherheitsrisiken zu schützen.

Related Posts

Linux Variante des Remote Access Trojaners DinodasRAT aufgetaucht

Eine vom Kasperky Threat Intelligence Team entdeckte Linux-Version von DinodasRAT, einem Remote Access Trojaner, auch bekannt als XDealer, startete eine weltweite Angriffswelle. Der in C++ geschriebene Multi-Plattform-Backdoor ermöglicht es Angreifern, sensible Daten von Zielcomputern zu überwachen und zu stehlen. Nachdem eine Windows-Version dieses RAT (Remote Access Trojan) in Angriffen gegen Regierungseinrichtungen in Guyana eingesetzt wurde, ist nun auch eine Linux Variante im Umlauf, wie die Sicherheitsforscher Kasperky rausfanden.

Read More

AI Package Hallucination Angriffe nehmen zu

ChatGPT und Co. erfinden oft Software Dependencies die gar nicht existieren - Hacker nehmen diese Einladung dankend an und programmieren diese nach, incl. Malware Backdoor. Das Problem basiert auf sog. “AI Package Hallucination” und betrifft LLMs wie ChatGPT, die auf Grund Ihrer Art zu antworten oft auch ursprünglich nicht existierende Softwarepakete empfehlen. Ein Bericht von Lasso Security zeigt, dass teilweise 30 Tausend Downloads auf ein hallzuniertes Software Paket (huggingface-cli statt huggingface-hub) existierten, das es so nie hätte geben dürfen.

Read More

Octopus Security Advisory warnt vor kritischer Sicherheitslücke in Octopus Deploy

Am 2.4.24 hat Octopus Deploy hat einen Sicherheitshinweis veröffentlicht, der eine hochkritische Sicherheitslücke in der Deploy Automatisierung Octopus Server aufdeckt, die zu einer Rechteausweitung führen kann. Die Schwachstelle, identifiziert mit der CVE-ID CVE-2024-2975, betrifft Nutzer, die bestimmte Versionen des Octopus Servers unter Linux und Microsoft Windows installiert haben.

Read More